메모리 포렌식 CTF 3
vol.exe -f 3.vmss imageinfo
win7 이니까 --profile=Win7SP1x86 을 붙여야합니다.
vol.exe -f 3.vmss --profile=Win7SP1x86 pstree
메모리 포렌식 CTF 3
▲ 1. C&C 서버를 찾아라
- 웹 접속을 유지하고 있는 iexplore를 먼저 확인한다.
iexplore -> iexplore
vol.exe -f 3.vmss --profile=Win7SP1x86 netscan
참고로 netscan 은 window7에서 사용하는 connscan같은 연결된것을보는것이다
- 또한 iexplore는 내부에 실행파일이 삽입된 것으로 확인 되므로(malfind),
54.84.237.92가 악성코드 C&C 서버일 것이라 추측 가능
이중에 하나가 악성이라는 의심을해볼수가있었다.
jushed.exe는 자바 업데이트 스케줄이고
proc 덤프해보니까 바이러스 인것을 알수가있었고
vol.exe -f 3.vmss --profile=Win7SP1x86 malfind >to12.txt
vol.exe -f 3.vmss --profile=Win7SP1x86 malfind -p 3208,3136
malfind를 텍스트 파일로 저장한뒤에 iexplore을 확인을해보면
mz 실행 파일이 숨겨져있다.
dlldump로 끄집어내보게되면
vol.exe -f 3.vmss --profile=Win7SP1x86 dlldump -p 3208 -b 0x00050000 --dump-dir=./
바이러스가 확실했습니다.
explorer가 차지하는 54.84.237.92 가 cnc 서버라고 알수가 있었습니다
vol.exe -f 3.vmss --profile=Win7SP1x86 iehistory
메모리상에 저장된 인터넷익스플로러 기록을 출력해주는 명령어입니다
(iehistory)
allsafe_update.exe 가 가장 처음 다운받은 프로그램이였고
explore에 악성프로그램이 install된거같습니다.
▲ 2. 변조된 프로세스에서 가장 먼저 감염된 프로세스를 찾아라
- malfind와 iehistory를 분석하면, 변조된 explore에서 가장 먼저 다운받는 프로세스
(allsafe_update.exe)가 감염된 프로세스(악성코드)임을 추측
vol.exe -f 3.vmss --profile=Win7SP1x86 filescan >78787.txt
이파일을 빼내려면 filescan을 진행한 뒤에
allsafe_update.exe 애를 찾습니다 메모장에서
여기서진행하고
vol.exe -f 3.vmss --profile=Win7SP1x86 dumpfiles -Q 0x000000003e7ab038 --dump-dir=./
allsafe_update.exe 파일을 끄집어 내게된다면
완벽한 바이러스 였습니다.
'악성코드 및 포렌식' 카테고리의 다른 글
| 메모리 포렌식 CTF 5 (0) | 2021.02.01 |
|---|---|
| 메모리 포렌식 CTF 4 (0) | 2021.02.01 |
| 메모리 포렌식 CTF 2 (0) | 2021.01.28 |
| 메모리 포렌식 CTF 1 (0) | 2021.01.28 |
| 메모리 포렌식 Challenge 8,9 (0) | 2021.01.28 |
